Django google picker API ключ
Я устанавливаю API google picker в приложении Django и пытаюсь понять, как правильно обрабатывать ключ API и другие настройки. Мне интересно, не является ли способ, которым я это делаю, угрозой безопасности. Я задаю значения с помощью переменных окружения следующим образом:
# views.py
@staff_member_required
def upload(request):
context = {
'GOOGLE_DEVELOPER_KEY': os.environ.get('GOOGLE_DEVELOPER_KEY'),
'GOOGLE_CLIENT_ID': os.environ.get('GOOGLE_CLIENT_ID'),
'GOOGLE_APP_ID': os.environ.get('GOOGLE_APP_ID')
}
return render(request, 'upload.html', context)
# upload.html
<script type="text/javascript">
var developerKey = "{{ GOOGLE_DEVELOPER_KEY }}";
var clientId = "{{ GOOGLE_CLIENT_ID }}"
var appId = "{{ GOOGLE_APP_ID }}";
function createPicker() {
if (pickerApiLoaded && oauthToken) {
var view = new google.picker.View(google.picker.ViewId.DOCS);
//view.setMimeTypes("image/png,image/jpeg,image/jpg");
var picker = new google.picker.PickerBuilder()
.enableFeature(google.picker.Feature.NAV_HIDDEN)
.enableFeature(google.picker.Feature.MULTISELECT_ENABLED)
.setAppId(appId)
.setOAuthToken(oauthToken)
.addView(view)
.addView(new google.picker.DocsUploadView())
.setDeveloperKey(developerKey)
.setCallback(pickerCallback)
.build();
picker.setVisible(true);
}
}
</script>
Чтобы увидеть страницу, необходимо войти в систему. Но так, как я устанавливаю значения, как только вы вошли в систему, вы можете просто просмотреть HTML и увидеть ключ разработчика, идентификатор клиента и т.д. Является ли это проблемой? Должен ли я делать это по-другому?